¿Cómo proteger adecuadamente algo que por su naturaleza resulta tan difícil de controlar, y tan fácil de distribuir y replicar?
Para comenzar a responder a esta pregunta se debe saber que cualquier organización moderna debería contar, como punto de partida, con las siguientes características...
Una clasificación exhaustiva de la información crítica para el desarrollo del negocio.
Un análisis de riesgo detallado que permita establecer prioridades de inversión respecto a la protección de la información.
Planes de capacitación y concientización regulares, que involucren a todos los niveles de la organización, acerca del adecuado tratamiento de la información del negocio.
En cuanto a los documentos (“información impresa”), es quizás el formato a través del cual es más sencillo analizar las responsabilidades del emisor y receptor de la información, ya que muchas veces la seguridad de un documento radica en gran medida en la capacidad de las personas de respetar los procedimientos establecidos.
Es verdad que no existen “parches” para los seres humanos, pero sí deberían aplicarse, por ejemplo, procesos y procedimientos de control, validación y aprobación de documentos, que eleven el nivel de seguridad de la documentación en formato impreso.
Así mismo, es cada vez más habitual la creación de cuartos privados para la impresión de documentos como también para envío y recepción de faxes, así como también la utilización de claves personal para la autorización de impresión de documentos.
Para la información almacenada en medios magnéticos u ópticos, valen las mismas consideraciones respecto a los otros formatos analizados. Pero además hay que considerar que, descartando el factor humano, la mayoría de las veces el acceso a esta información depende de un factor adicional: un control de acceso físico (por ejemplo, para acceder a una sala), o un control de acceso lógico (tal vez para acceder a una aplicación).
Por supuesto, no podemos dejar de mencionar otro tipo fundamental de información, al que podemos denominar “know-how”, y se refiere al conocimiento que poseen las personas.
Esta también es información que se comunica diariamente, que implica importantes responsabilidades tanto en el dueño de los conocimientos, como también en aquellos que los reciben y son responsables de utilizarlos.
En este caso, los medios utilizados para la transmisión de este tipo tan particular de información, no siempre son controlables a través de medios tecnológicos: es aquí donde medidas como “Acuerdos de Confidencialidad” funcionan muchas veces como acciones de mitigación de riesgos que son hasta cierto punto incontrolables.
Pues bien: al momento de realizar un análisis de riesgo serio y exhaustivo, será necesario considerar como “activos” (desde el punto de vista de la ISO 27001:2005) a aquellas personas que posean know-how crítico para el desarrollo del negocio, lo cual implicará desarrollar procedimientos, controles, resguardos, y aceptar y mitigar los riesgos asociados a cada proceso en el que participen.
Recomendaciones
Contar siempre con un “Análisis de Riesgo” detallado y actualizado, de acuerdo con la norma ISO 27001:2005, que sirva como referencia para las decisiones de inversión asociadas a “Seguridad de la Información”.
Otorgar el mismo nivel de importancia y atención a todos los medios en los que se encuentra distribuida la información de la organización.
Clasificar los procesos de toda la organización de acuerdo a su importancia en el desarrollo del negocio, priorizando el aseguramiento de los recursos críticos para su desarrollo.
Revisar de forma regular la operación de los procedimientos y controles definidos, preferentemente por consultores externos a la organización, reportando directamente al CISO.
Fuente: Global Crossing
